Schadcode über Excel Power Query statt Makros

by Sascha Kuhrau |
on Juni 28, 2019 |
at 08:32

Der klas­si­sche Angriffs­weg: Schad­code über Makros in Office-Dokumenten

Das Angriff­sze­na­rio ken­nen wir zur Genü­ge. Eine Word- oder Excel-Datei ent­hält Makro-Code, der nach Öff­nen des Doku­ments und einen unacht­sa­men Klick des Nut­zers auf “Makros akti­vie­ren” den eigent­li­chen Schad­code (zumeist einen Ver­schlüs­se­lungs­tro­ja­ner) nach­lädt. Es soll sogar ganz Hart­ge­sot­te­ne geben, in deren Office-Instal­la­ti­on “Makros auto­ma­tisch aus­füh­ren” ein­ge­stellt ist, spart näm­lich viel Arbeitszeit 😉

Infor­mier­te Anwen­der und IT-Abtei­lun­gen kön­nen mit die­sem Risi­ko mitt­ler­wei­le recht gut umge­hen. Neben den tech­ni­schen Lösun­gen ist natür­lich auch die regel­mä­ßi­ge Sen­si­bi­li­sie­rung der Anwen­der zwin­gend nötig. Die­se sind näm­lich kei­ne Secu­ri­ty-Spe­zia­lis­ten und soll­ten recht­zei­tig und immer wie­der auf neue mög­li­chen Stol­per­fal­len für Sicher­heit und Daten­schutz hin­ge­wie­sen werden.

Rand­no­tiz: Im Rah­men der Ein­füh­rung eines ISMS nach ISIS12 wur­de uns der Begriff “regel­mä­ßig” mit zwi­schen 5 und 10 Jah­ren erklärt. Das kann man so sehen, soll­te aber aus Grün­den der eige­nen Orga­ni­sa­ti­ons­si­cher­heit dann doch zeit­lich eher etwas straf­fer aus­ge­legt sein. Begrün­dung war übri­gens: Schu­lun­gen hal­ten nur unnö­tig von der Arbeit ab. 😉

Makros bekom­men Kon­kur­renz durch Excels Power Query — neu­es Ein­falls­tor für Schadcode

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Query ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-Sheets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Query als Add-In nach­träg­lich instal­liert wur­de. Power Query wird lt. Micro­soft zur Ver­bin­dung mit exter­nen Daten­quel­len genutzt. Ein von Hei­se ent­spre­chend prä­pa­rier­tes Doku­ment schlug bei der Prü­fung durch Virus Total kei­nen Alarm. Wie die­se Sicher­heits­lü­cke kon­kret aus­ge­nutzt wer­den kann und wie ein­fach das geht, beschreibt Hei­se in einem Bei­trag (exter­ner Link) sehr konkret.

Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Query kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440 (exter­ner Link).

Categories:

BedrohungDatenschutzDatensicherheitInformationssicherheitPresseSchwachstelleSoftwareTippsWarnung

Tags:

BedrohungExcelGefahrHackerPower QueryRatgeberRisikoSchadcodeSchutzSicherheitTipps

No responses yet

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Über a.s.k. Daten­schutz e.K.
    News­let­ter

    Unse­ren News­let­ter Daten­schutz und Infor­ma­ti­ons­si­cher­heit abon­nie­ren Sie hier.

    Nächs­te Termine
    • Keine Termine
    Unse­re Leis­tun­gen für Sie
    Häu­fi­ge Fragen
    Part­ner /​ Koope­ra­tio­nen


    Anwalts­kanz­lei Diercks, Hamburg


    Spi­rit Legal Rechts­an­wäl­te, Leipzig


    RA Ste­phan Han­sen-Oest, Flensburg


    Anstalt für Kom­mu­na­le Daten­ver­ar­bei­tung in Bay­ern (AKDB), München


    Gesell­schaft für kom­mu­na­len Daten­schutz (GKDS), München


    Whist­le Safe e.K., Ber­lin — Whist­le­b­lo­wing-Lösun­gen für Unter­neh­men und Kommunen


    Daten­schutz Schmidt (Daten­schutz Assis­tent), Lauf a.d. Pegnitz

    Hahn IT Ser­vices, Schwaig


    Mibes IT-Sys­tem­haus, Raubling

    Mit­glied­schaf­ten